Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-Mail-Sicherheit

    Was ist IT-Risikomanagement?

    Verstehen Sie das Risikomanagement im Bereich der Informationstechnologie (IT) und die Strategien zur Verringerung des Risikos von Cyberangriffen, Ausfällen und anderen Vorfällen für Ihr Unternehmen.

    gettyimages-1029357548.png

    Wichtige Punkte

    • IT-Risikomanagement hilft, die kritischen Interessen Ihres Unternehmens zu schützen.
    • Ein formeller Rahmen für das Risikomanagement identifiziert Bedrohungen und misst das Schutzniveau, das zum Schutz der Daten und anderer Informationswerte Ihres Unternehmens erforderlich ist.
    • Cybersecurity-Risiken - insbesondere Bedrohungen durch E-Mails - stehen heute ganz oben auf der Agenda des IT-Risikomanagements.

    Die Daten eines Unternehmens sind sein Lebenselixier. Und laut einer IDC-Umfrage aus dem Jahr 2020 wächst die Datenerfassung in Unternehmen jedes Jahr um mehr als 42 %. [1] Vom geistigen Eigentum, das einen einzigartigen Wert darstellt, bis hin zu den persönlichen Daten von Kunden müssen Unternehmen einen Plan haben - ein Risikomanagement für die Informationstechnologie (IT) -, um das Risiko einer Datenverletzung oder eines Ausfalls zu verringern.

    Was ist ein Informationsrisiko?

    Das Informationsrisiko ist der potenzielle Schaden, den eine Organisation erleiden könnte, wenn ein Ereignis oder ein unbefugter Akteur ihre Netzwerkinfrastruktur oder Datenbestände kompromittiert, verletzt oder anderweitig gestört hat.

    IT-Risiken treten in vielen Formen auf, darunter Cybersicherheitsprobleme (Phishing, Ransomware), physische Bedrohungen (Feuer oder Überschwemmungen), technisches Versagen (Bugs, Abstürze), Infrastrukturausfälle (Verlust der Internetverbindung), strategische Risiken (falsche Technologieentscheidungen) und menschliches Versagen (versehentliche Datenlöschung). [2] Das Cybersicherheitsrisiko ist nicht nur zum größten IT-Risiko geworden, sondern auch zu einem der drei größten Geschäftsrisiken insgesamt, das in einer kürzlich durchgeführten Umfrage gleichauf mit dem Ausbruch einer Pandemie und Betriebsunterbrechungen genannt wurde. [3]

    Unternehmen messen den Grad des Informationsrisikos an den Auswirkungen, die ein solcher Vorfall auf den Betrieb, die finanzielle Leistung und den Ruf haben könnte. Die Risikotoleranz eines Unternehmens hängt vom Wert der Daten ab. Wenn es sich bei den Daten beispielsweise um medizinische Patientenakten oder geheime Dateien handelt, ist das Risiko einer Kompromittierung viel größer als bei weniger bedeutsamen Inhalten, wie z. B. Dokumenten zur Marketingkommunikation.

    Bewertung des IT-Risikos

    Gruppen wie ISACA, ein Branchenverband, empfehlen, dass Unternehmen zunächst eine Bewertung der Informationsrisiken vornehmen, in der die Arten, Mengen und Prioritäten der Risiken, die sie tolerieren können, ermittelt und formalisiert werden. [4]

    IT-Risikobewertungen bilden die Grundlage für wirksame Risikomanagementprogramme. Organisationen sollten sie durchführen, indem sie:

    • Ernennung eines qualifizierten Managers, der mit Risikomanagement-Rahmenwerken und -Methoden vertraut ist, um den Prozess zu überwachen. Dieser Manager muss die IT-Funktion verstehen, in der Lage sein, ein Team von hochrangigen Interessenvertretern zu leiten und über effektive Kommunikations- und Konfliktlösungsfähigkeiten verfügen.
    • Aufbau eines Teams von Interessenvertretern, das sich aus Geschäftsführern (Recht, Finanzen, HR, Marketing usw.) und IT-Mitarbeitern (wichtige Entscheidungsträger für Infrastruktur, Sicherheit, Softwareentwicklung) zusammensetzt.
    • Unter Berücksichtigung von Entwürfen wie ISACA's COBIT 5 for Risk, [5] beschrieben als ein Prozess, der zur Identifizierung und Qualifizierung oder Quantifizierung von Risiken und deren potenziellen Auswirkungen verwendet wird. Der Prozess der IT-Sicherheitsrisikobewertung umfasst die Bereiche Scoping, Analyse und Kontrollbewertung.

    Was ist ein IT-Risikomanagement-Rahmen?

    Das IT-Risikomanagement geht über die Bewertung des Risikos hinaus, das ein Unternehmen eingeht, wenn bestimmte Informationen gestohlen werden oder auf andere Weise vorübergehend oder dauerhaft nicht verfügbar sind. Das IT-Risikomanagement bestimmt die Bedeutung der Daten, den Umfang der Ressourcen und die Investitionen, die für den Schutz der IT-Infrastruktur und der Informationsbestände eingesetzt werden sollten. Viele Unternehmen erstellen für diese Aufgabe einen IT-Risikomanagementrahmen.

    Es gibt viele Ansätze für die Entwicklung und Pflege eines IT-Risikomanagementrahmens. Die Info-Tech Research Group fasst den Prozess in drei Schritten zusammen: [6]

    • Überprüfung der IT-Risikogrundlagen, um einen Rahmen für die Risikobeherrschung zu schaffen.
    • Identifizieren Sie IT-Risiken, bewerten Sie sie und setzen Sie dann Prioritäten.
    • Entwicklung eines Programms zur Überwachung von IT-Risiken, Entwicklung von Reaktionen und Kommunikation von IT-Risikoprioritäten.

    Das National Institute of Standards and Technology Risk Management Framework (NIST RMF) geht detailliert auf die Besonderheiten der Cybersicherheit und des Datenschutzes ein. Das NIST RMF ist ein siebenstufiger Prozess zur Implementierung von IT-Sicherheitsrisikomanagementprogrammen, die den Richtlinien des Federal Information Security Modernization Act (FISMA) entsprechen. FISMA gilt für Bundesbehörden und deren Auftragnehmer, aber das NIST-Rahmenwerk wird auch außerhalb des öffentlichen Beschaffungswesens weithin als Best Practice angesehen. Es legt die folgenden Schritte fest: [7]

    • Vorbereitung: Durchführung einer Bewertung und Festlegung der erforderlichen Maßnahmen für das Management von Sicherheits- und Datenschutzrisiken.
    • Kategorisieren: Katalogisieren Sie die verarbeiteten, gespeicherten und übermittelten Informationen auf der Grundlage der Folgenanalyse.
    • Wählen Sie: Wählen Sie die entsprechenden, von NIST empfohlenen Kontrollen zum Schutz des Systems.
    • Implementieren Sie: Richten Sie Kontrollen ein und dokumentieren Sie, wie sie eingesetzt werden.
    • Bewerten Sie: Stellen Sie fest, ob die Kontrollen wie vorgesehen funktionieren und die gewünschten Ergebnisse liefern.
    • Autorisieren: Die verantwortlichen Führungskräfte treffen die endgültige Entscheidung, das System in Betrieb zu nehmen.
    • Monitor: Kontinuierliche Beobachtung der Umsetzungs- und Systemrisiken.

    Warum ist ein Risikomanagement notwendig?

    Risikomanagement ist nicht nur ein "Nice-to-have" für IT- und Sicherheitsoperationen, sondern ein wesentlicher Bestandteil der Unternehmensführung und Compliance. In Anbetracht der scheinbar täglichen Berichte über Ransomware-Angriffe und größere Datenschutzverletzungen hat das IT-Sicherheitsrisikomanagement auf Vorstandsebene inzwischen hohe Priorität. Laut Deloitte, einer Unternehmensberatung, hat dieser Prozess strategische, finanzielle, betriebliche, regulatorische und rufschädigende Auswirkungen. [8]

    So wichtig ein formeller IT-Risikomanagementprozess für IT- und Sicherheitsverantwortliche ist, so wichtig ist es auch, dass CEOs und Vorstände ihre Cyber-Risiken verstehen, um alle Beteiligten für die potenzielle Bedrohung ihres Unternehmens zu sensibilisieren und angemessene Schutzmaßnahmen zu ergreifen. IT- und Unternehmensleiter müssen sich in Bezug auf Informationssicherheit und Risikomanagement abstimmen.

    Konzentration auf Cybersecurity-Risiken

    Da die Cybersicherheit ein Hauptrisiko darstellt, muss das Risikomanagement für die Informationssicherheit folgende Anforderungen erfüllen:

    • Eine Möglichkeit, das von einer Organisation akzeptierte Cybersicherheitsrisiko gegen die Vorteile verschiedener Technologien abzuwägen.
    • Durchführung eines Audits der Cybersicherheit, um alle Risiken zu ermitteln und das Ausmaß der unbekannten Bedrohungen zu messen.
    • Entwicklung eines umfassenden Plans zur Verringerung von Schwachstellen und Bedrohungen.
    • Einsatz von Lösungen zur Eindämmung von Verstößen oder Angriffen.
    • Einführung umfassender Schulungsprogramme für das Sicherheitsbewusstsein aller Mitarbeiter und Beteiligten.

    Bewertung des größten Cybersecurity-Risikos: E-Mail

    Das größte IT-Sicherheitsrisiko, das es zu bewältigen gilt, ist E-Mail , in Form von allgegenwärtigen Phishing- und Ransomware-Kampagnen. Unternehmen, die sich einer Risikobewertung im Bereich der Informationssicherheit unterziehen, stellen in der Regel fest, dass die Gefahr von E-Mail-Angriffen am Rande ihres Netzwerks, innerhalb ihres Netzwerks und außerhalb des Netzwerks, wo ihre Marke möglicherweise vor gefälschten Websites und anderen Bedrohungen geschützt werden muss, hoch ist.

    In der von Mimecast durchgeführten Umfrage unter 1.025 IT-Entscheidungsträgern hatten 82 % der Befragten im vergangenen Jahr mit Ausfallzeiten aufgrund eines Angriffs zu kämpfen, während 51 % von Ransomware betroffen waren. Diejenigen, die einem Ransomware-Angriff zum Opfer fielen, hatten drei Tage Ausfallzeit. Der Umfrage zufolge hielten 60 % einen E-Mail-Angriff in diesem Jahr für unvermeidlich.

    Die Quintessenz

    Das IT-Risikomanagement ist eine wichtige Funktion für jedes Unternehmen. Ein Risikomanagementprozess für die Informationssicherheit ist nicht nur ein IT-Thema, sondern eine Angelegenheit, der CEOs, Führungskräfte und Unternehmensvorstände große Aufmerksamkeit widmen oder widmen sollten. Cyber-Bedrohungen werden nicht verschwinden, und die Auswirkungen eines Ereignisses oder eines schlechten Akteurs können den Betrieb, die Finanzen und den Ruf eines Unternehmens schädigen.

     

    [1] " 'Rethink Data' Report Reveals That 68% of Data Available To Business Goes Unleveraged ," IDC, für Seagate

    [2] " IT-Risikomanagement ," Invest Northern Ireland

    [3] " Allianz Risikobarometer ," Allianz

    [4] " Schlüsselelemente eines Informationsrisikoprofils ," ISACA

    [5] " Risikobewertung zur Unterstützung der Entscheidungsfindung ," ISACA

    [6] " Aufbau eines IT-Risikomanagementprogramms ," Info-Tech Research Group

    [7] " NIST Risk Management Framework ," National Institute for Standards and Technology

    [8] " IT-Risiken in FSI ," Deloitte

    gettyimages-1264813147.png
    Nächster Punkt
    E-Mail-Sicherheit |
    Warum Ransomware-Angriffe auf dem Vormarsch sind

    Verwandte Artikel

    E-Mail-Sicherheit
    Wie Sie Ihre Sicherheitsintegrationen gestalten
    E-Mail-Sicherheit
    Cybersicherheit wird zum Wachstumsmotor für Unternehmen
    E-Mail-Sicherheit
    Was ist VSOC und GSOC Sicherheit?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang